挖掘犯罪链条中的URL跳转 2023-07-19 23:54:12 46 0xShe 17258 0x01 前言 2023年5月,接到朋友求助,他的母亲被诈骗5万元,诈骗人使用的是他哥哥的微信号,找到我寻求帮助。 经过研判,对方盗取了被害人亲戚的微信号,以老套的诈骗方式“是我是我诈骗”进行作案。 0x02 骗局分析 利用钓鱼链接,让被害人帮忙微信投票,在投票时提示需要登入微信,需要微信的账号密码以及验证码 在盗取微信号后,伪装成本人向亲朋好友借钱 0x03 挖掘犯罪链条中的URL跳转 在拿到盗号的二维码后第一时间对URL进行分析,套路其实很老套,就是我上面说的那些,在挖掘过程中,犯罪链条中的一环跳转了某个大厂的URL 犯罪链条经过了一层某大厂URL跳转,使得诈骗网站可以逃过QQ/微信等聊天工具的URL检测,成功混进了白名单,没有提示危险 若跳转的链接非白名单URL,则出现拦截,显示是否确认跳转,如下图: 若链接是白名单,则直接跳转 0x04 URL跳转绕过 综上所述,如果非白名单就会出现拦截 如 http://127.0.0.1/?url=http://xxx.cn 尝试白名单,已知该厂商的白名单有 baidu.com qq.com等 白名单成功跳转,无任何提示直接跳转 0x05 犯罪链条中的利用 已知 http://127.0.0.1/?url=http://baidu.com是直接跳转的白名单 绕过 http://127.0.0.1/?url=http://baidu.commxxx.cn 利用二级域名绕过检测规则 绕过方法2 http://127.0.0.1/?url=http://baidu.com.xxxxx.cn 0x06 声明 案子已经过去几个月了,也已经结案了,但是该漏洞还是没有修复,为了避免扯皮,我全程使用厚码,只提供思路进行讨论。 本文章仅用于技术研究探讨,非法利用后果自负。 0x07 吐槽 本是公益,报告完整写出了几个绕过点,第一次给我忽略漏洞,第二次让我提供被骗的证据 当我提供了朋友立案的证据后,接受了该漏洞 本是公益,不为了一分一毫,花了时间精力去挖掘去写报告,换来的却是低危 1分 报告质量:差 毫无疑问,这给”差“是给我的,像一巴掌一样拍在我脸上。 对得起我吗?某大厂 类别 渗透测试 关于作者 0xShe139篇文章1085篇回复
评论46次
单纯的url跳转,国内很多src貌似都不收
不是很'正常吗?在圈子里很多搞这种防红的各种方式,都形成产业链了,
给你审核通过都是给面子了这种只要还有传媒资本存在就不可能补上并非都是犯罪用途
能通过可能还是因为立案有了证据才给你过的了,,,给质量差纯粹就是恶心人。。。
T00Ls狠起来可是连自己都不放的
哈哈哈哈哈哈哈哈哈
碰到过,我们xi统URL跳转里白名单里有某度,然后某度可以任意重定向,他妈的说我们有问题。真蛋疼
T00Ls狠起来可是连自己都不放的
这厂商评论方式真让人无语啊。
一般来说这漏洞都不收
感谢提供的案例
坚决打击网络诈骗!为白帽点赞!
恶心到了
做甲方安全做久了,明显感觉到和做漏洞挖掘时候不一样的:漏洞严重等级和对业务的影响并不是一回事,很多大而敏感的业务更怕批量信息泄露而不是RCE,毕竟RCE可能最多进一个容器,但用户的信息泄露可能影响上亿股价。唉,业务安全。
还不如内部已知,忽略呢,有点恶心人了
单纯的url跳转,国内很多src貌似都不收
回复 18# xiwandashi 确实,都要证明危害才收的
现在还有???挺神奇了
这个属实不应提交漏洞向,提交情报会好不少。
国内挖src真的惨!我特么,提起来就来气。挖洞的真的是弱势群体!现在就挖一个平台了。朋友推了几个,什么cavd ,fadada真的越挖越气,准备过写日子研究一下哇国外的。真的受不了这个气。
国内的连个辛苦钱都舍不得给你,给他挖个求,技术人员一点都得不到尊重,也就那样了
就是这种针对策略的漏洞,对厂商来说是无足轻重。但是作为欺诈场景中的一环就增加了很多被害者的信任程度。。。然而厂商并不关心
这种要看微信接口怎么识别了吧 应该还是可以过滤一些的
在国内的都敢诈骗???????????太狠了...
国内挖src真的惨!我特么,提起来就来气。挖洞的真的是弱势群体!现在就挖一个平台了。朋友推了几个,什么cavd ,fadada真的越挖越气,准备过写日子研究一下哇国外的。真的受不了这个气。
https://www.hackerone.com/
我们公司上的就是这个。之后准备干了!!!
国内挖src真的惨!我特么,提起来就来气。挖洞的真的是弱势群体!现在就挖一个平台了。朋友推了几个,什么cavd ,fadada真的越挖越气,准备过写日子研究一下哇国外的。真的受不了这个气。
https://www.hackerone.com/
这种交威胁情报就好了。